LogFile Parser
소개[편집]
[그림 1] LogFile Parser 실행화면
![[그림 1] LogFile Parser 실행화면](/DFWIKI/index.php/%ED%8C%8C%EC%9D%BC:LogFile_Parser_%EC%8B%A4%ED%96%89%ED%99%94%EB%A9%B4.png)
LogFile Parser는 joakim이 개발한 도구이며, 프리웨어이다. 최신 업데이트 일자는 2014년 1월 17일이며, 최신 버전은 1.0.0.17이다. 본 항에서는 최신버전인 1.0.0.17을 기반으로 보고서를 작성하였다. LogFile Parser은 GUI기반이며 Windows 운영체제 환경에서 사용 가능하다. LogFile Parser는 NTFS의 $LogFile을 파싱하여 CSV파일포맷으로 결과를 저장하는 기능을 제공한다. 시간 단위를 설정할 수 있고 UTC시간을 설정할 수 있다. LogFile Parser의 실행화면은 [그림 1]과 같다.
사용법[편집]
LogFile Parser를 사용하기 위해선 $LogFile이 필요하다. $LogFile은 라이브상태에서 복사하기 위해서는 forecopy.exe와 같은 프로그램이 필요하다. $logfile을 복사한 뒤 경로를 설정해 준다. 타임스탬프와 시간 단위, 클러스터 당 섹터수를 설정해 준 다음 start 버튼을 선택하면 해당 프로그램이 존재하는 폴더에 결과물이 생성된다.
도구 기능[편집]
[그림 2] LogFile Parser 파싱 결과
![[그림 2] LogFile Parser 파싱 결과](/DFWIKI/index.php/%ED%8C%8C%EC%9D%BC:LogFile_Parser_%ED%8C%8C%EC%8B%B1_%EA%B2%B0%EA%B3%BC.png)
LogFile Parser 기본 화면에는 $UsnJrnl이 존재하지만 현재 프로그램에서는 제공하지 않는다. 따라서 $logfile만 파싱 한 뒤 결과물을 출력해준다. 파싱한 결과는 [그림 2]와 같다.
제한사항[편집]
결과물의 파일확장자는 CSV이지만 내용의 구분자는 ‘,’가 아닌 ‘|’로 되어있다. CSV로 결과를 확인하기 위해선 구분자를 ‘|’가 아닌 ‘,’로 설정해야 한다. 또한 저장경로를 따로 지정할 수 없다.
수사 활용 방안[편집]
수사 현장에서 $logfile의 정보를 수집 하여 분석할 경우 LogFile Parser는 $logfile의 정보를 가공 없이 raw한 데이터로 확인할 수 있다는 장점을 가지고 있다. 하지만 속도가 느리고 정상적인 결과물을 출력하지 않으므로 사용하기 불편하다는 단점이 존재한다.
